Docker

介绍

Docker是PasS提供商DoctCloud开源的一个基于LXC的高级容器引擎，源代码托管在Github上，基于go语言并遵从Apache2.0协议开源。Docker近期非常火热，无论是从Github上的代码活跃度，还是Redhat在REHEL6.5中集成对Docker的支持，就连Google的Compute Engine也支持docker在意之上运行，百度、阿里、新浪、京东也开始使用Docker作为PaaS基础。

某款开源软件能否在商业上成功，很大程度上依赖三件事-成功的User case，活跃的社区和一个好故事。DotCloud在自家的PaaS产品上建立在docker之上，长期维护且有大量用户，社区十分活跃，接下来我们看看docker 的故事。

• ·环境管理复杂--从各种OS到各种中间件到各种app，一款产品能够成功作为开发者需要关心的东西太多，且难于管理，这个问题几乎在所有现代IT相关行业都需要面对，对此Docker可以简化部署多种应用实例工作，比如Web应用、后台应用、数据库应用、大数据应用比如Hadoop集群、消息队列等等都可以打包成一个 Image部署。

如图所示：

 

• 云计算时代的到来--AWS的成功，引导开发者将应用转移到cloud上，解决了硬件管理的问题，然而中间件相关的问题依然存在，Docker的出现正好能帮助软件开发者开阔思路，尝试新的软件管理方法来解决这个问题 ·虚拟化手段的变化--cloud时代采用标配硬件来降低成本，采用虚拟化手段来满足用户按需使用的需求以及保证可用性和隔离性，然而无论是kvm还是Xen在docker看来，都是在浪费资源，因为用户需要的是高效运行环境而非OS，GuestOS既浪费资源又难于管理，更加轻量级的LXC更加灵活和快速。
• LXC的移植性--LXC在linux2.6的kernel里就已经存在了，但是其设计之初并非为云计算考虑的，缺少标准化的描述手段和容器的可迁移性，决定其构建出的环境难于迁移和标准化管理（相对于kvm之类的image和snapshot），Docker就在这个问题上作出实质性的革新。

 

面对上面的问题，docker设想是交付运行环境如同海运，OS如同一个货轮，每一个在OS基础上的软件都如同一个集装箱，用户可以通过标准化手段*组装运行环境，同时集装箱的内容可以由用户自定义，也可以由专业人员制造。这样，交付一个软件，就是一系列标准化组件的集合的交付，如同乐高积木，用户只需要选择合适的积木组合，并且在最顶端署上自己的名字（最后标准化组件是用户的app），这也就是基于docker的PaaS产品的原型。

在docker的网站上提到了docker的典型场景：

• Automating the packaging and deployment of applications（使应用的打包与部署自动化）
• Creation of lightweight, private PAAS environments（创建轻量、私密的PAAS环境）
• Automated testing and continuous integration/deployment（实现自动化测试和持续的集成/部署）
• Deploying and scaling web apps, databases and backend services（部署与扩展webapp、数据库和后台服务）

由于docker基于LXC轻量级的虚拟化特点（0.9之后不是基于LXC，但还是支持的），docker相比KVM之类最明显的特点就是启动快，资源占用小。因此对于构建隔离性的标准化的运行环境，轻量级的PaaS（如dokku），构建自动化测试和持续集成环境，以及一切可以横向扩展的应用（尤其是需要快速启停来应对峰谷的web应用）。

（1）构建标准化的运行环境，现有方案大多是在一个base OS上运行的一套puppet/chef，或者一个image文件，期缺点是前者需要base OS许多前提条件，后者几乎不可以修改（因为copy on write的文件格式在运行时rootfs是read only），并且后者文件体积大，环境管理和版本控制本身也是一个问题。

（2）PaaS环境是不言而喻的，其设计之初和DotCloud的案例都是将其作为PaaS产品的环境基础

（3）因为其标准化构建方法（buildfile）和良好的REST API，自动化测试和持续集成/部署能够很好的集成进来

（4）由于LXC轻量级的特点，其启动快，而且docker能够只加载每个container变化的部分，这样的资源占用小，能够在单机环境下与KVM之类的虚拟化方案相比能够更加快速和占用更少资源

原理

Docker核心解决的问题是利用LXC来实现类似VM的功能，从而利用更加节省的硬件资源提供给用户更多的计算资源。同VM的方式不同, LXC其并不是一套硬件虚拟化方法 - 无法归属到全虚拟化、部分虚拟化和半虚拟化中的任意一个，而是一个操作系统级虚拟化方法, 理解起来可能并不像VM那样直观。所以我们从虚拟化到docker要解决的问题出发，看看他是怎么满足用户虚拟化需求的。

用户需要考虑虚拟化方法，尤其是硬件虚拟化方法，需要借助其解决的主要是以下4个问题:

• 隔离性 - 每个用户实例之间相互隔离, 互不影响。 硬件虚拟化方法给出的方法是VM, LXC给出的方法是container，更细一点是kernel namespace
• 可配额/可度量 - 每个用户实例可以按需提供其计算资源，所使用的资源可以被计量。硬件虚拟化方法因为虚拟了CPU, memory可以方便实现, LXC则主要是利用cgroups来控制资源
• 移动性 - 用户的实例可以很方便地复制、移动和重建。硬件虚拟化方法提供snapshot和image来实现，docker(主要)利用AUFS实现 emory可以方便实现, LXC则主要是利用cgroups来控制资源
• 移动性 - 用户的实例可以很方便地复制、移动和重建。硬件虚拟化方法提供snapshot和image来实现，docker(主要)利用AUFS实现
• 安全性 - 这个话题比较大，这里强调是host主机的角度尽量保护container。硬件虚拟化的方法因为虚拟化的水平比较高，用户进程都是在KVM等虚拟机容器中翻译运行的, 然而对于LXC, 用户的进程是lxc-start进程的子进程, 只是在Kernel的namespace中隔离的, 因此需要一些kernel的patch来保证用户的运行环境不会受到来自host主机的恶意入侵, dotcloud(主要是)利用kernel grsec patch解决的.

局限

Docker并不是全能的，设计之初也不是KVM之类虚拟化手段的替代品，简单总结几点：

• Docker是基于Linux 64bit的，无法在32bit的linux/Windows/unix环境下使用
• LXC是基于cgroup等linux kernel功能的，因此container的guest系统只能是linux base的
• 隔离性相比KVM之类的虚拟化方案还是有些欠缺，所有container公用一部分的运行库
• 网络管理相对简单，主要是基于namespace隔离
• cgroup的cpu和cpuset提供的cpu功能相比KVM的等虚拟化方案相比难以度量(所以dotcloud主要是按内存收费)
• Docker对disk的管理比较有限
• container随着用户进程的停止而销毁，container中的log等用户数据不便收集